Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 214 reacties
Submitter: Kinsmir

WhatsApp blijkt een bug die het mogelijk maakt om de status van een andere gebruiker te veranderen, niet te hebben opgelost. Een hacker heeft een Windows-tool vrijgegeven waarmee de status van elke gebruiker kan worden aangepast.

Vrijdag schreef Tweakers.net over een kwetsbaarheid in het WhatsApp-protocol die het mogelijk maakte om van elke andere gebruiker de WhatsApp-status aan te passen. Een hacker demonstreerde de kwetsbaarheid op een website, WhatsAppStatus.net, waarop een bezoeker enkel iemands telefoonnummer hoefde in te voeren om de status te wijzigen. Het ging om de status die wordt getoond in de lijst met contactpersonen.

WhatsApp beloofde de kwetsbaarheid te dichten en voorkwam dat gebruikers de exploit van WhatsAppStatus.net nog konden gebruiken. Afgelopen maandag bezweerde een woordvoerder van de chatapplicatie dat het probleem definitief was opgelost. Niets blijkt minder waar; de kwetsbaarheid is nog steeds aanwezig en de hacker heeft een nieuwe tool vrijgegeven die dat bewijst.

"Ze hebben enkel onze website-ip geblokkeerd", zo is te lezen op de site. Daarom hebben de hackers een tool voor Windows vrijgegeven die precies hetzelfde doet. De applicatie blijkt inderdaad te werken; de WhatsApp-status van anderen wordt naar wens aangepast, hoewel een gebruiker WhatsApp moet afsluiten en opnieuw moet starten om de nieuwe update te zien.

Het programma is op eigen verantwoordelijkheid te gebruiken, waarschuwt de hacker, maar hij belooft dat hij geen gegevens opslaat en dat er geen spyware in de executable zit. De applicatie bevat volgens 43 virusscanners inderdaad geen malware.

Overigens hebben andere beveiligingsonderzoekers precies hetzelfde probleem in september al bij WhatsApp gemeld. Eerder ontdekte een lezer van Tweakers.net dat WhatsApp berichten onversleuteld opslaat. Kort daarvoor maakte een fout in de sms-verificatie van WhatsApp het mogelijk om berichten van anderen te lezen.

WhatsApp

Reacties (214)

Reactiefilter:-12140203+185+27+31
Moderatie-faq Wijzig weergave
1 2 3 ... 10
Dit is het enige wat de status changer tool doet:

Een POST naar "https://s.whatsapp.net/client/iphone/u.php"

Met de volgende gegevens:
"cc=31&me=TELEFOONNUMMER&s=STATUS TEKST"

Met user-agent: "User-Agent:WhatsApp/2.6.7 iPhone_OS/5.0.1 Device/Unknown_(iPhone4,1)"
Klopt, het IP adres was dus geblokkeerd, maar er waren ook enkele extra checks op header toegevoegd (heb mijn tool, waarvan de source dus in het vorige nieuwsbericht stond, ook laatst aangepast). Door normale posts door te sturen werd dit direct opgelost. Door er een programma van te maken kan het IP niet meer geblokkeerd worden, het wordt immers over je eigen connectie gestuurd.
Als je nu via je 3G/2G van je provider het scriptje laat draaien en ze blokeren dan het IP...... Dan kan dus niemand meer van die provider (of gebied) zijn status veranderen (mits ISP niet elke connectie zijn eigen IP geeft) :/

[Reactie gewijzigd door Pascal op 12 januari 2012 13:02]

Waarom zou iedereen achter het IP van de provider zitten? Ze zien gewoon het IP van je 3G/2G toestel. Met je vaste connectie thuis surft toch ook niet iedereen met het IP van je provider? Ze zouden een ISP kunnen blokkeren, maar dat zou al helemaal dom zijn (en dat kan puur omdat de ISP te kennen is aan de hand van je "persoonlijke" IP).
Dit gaan ze niet oplossen door de IP's te blokkeren. Ook al om te simpele reden dat er ISP's zijn die met dynamische IP's werken. Als je dus geblokt bent dan ben je dat na enkele dagen niet meer en zit de persoon die dan je IP krijgt met de gebakken peren (Bij Belgacom bvb om de 36 uur een nieuw IP, binnenkort om de 90 uur normaal) :)
Net hetzelfde dus op een forum waar ze soms een IP-ban toepassen. Als ze iemand bannen die dezelfde ISP gebruikt als jij, zal jij er wel nog op kunnen maar die persoon niet.
Lezen? ik heb het nu puur over 2G/3G dus via het netwerk van je telco. Daar zit je dus met 100den mensen achter 1 extern IP nummer. Controleer dit maar eens ik weet niet hoe dit in Belgie zit maar hier in nederland heeft heeft bijvoorbeeld Voda, Telfort etc (behalve tmobile dacht ik) gewoon 1 extern ip.

gecheckt via meerdere mensen die bij Vodafone zitten. (watismijnip etc geeft allemaal hetzelfde ip weer. 62.140.137.70)

[Reactie gewijzigd door Pascal op 12 januari 2012 12:59]

46.179.*.* en 178.144.*.*
Hier zijn het 2 verschillende ip adressen, wel bij dezelfde provider (Proximus), zelfde locatie en zelfs hetzelfde tariefplan (Pay&Go Generation). In BelgiŽ is dat dus blijkbaar niet het geval, ik ging er vanuit dat dit overal zo was. Mijn excuses :)
bij hi kan je gwn een webserver op je telefoon draaien en die berijken over het IP van myIP.nl was bij t-mobile eerst ook of da nu nog kan weet ik niet
Tooltje? Met curl op de cmd line kan t gewoon!
Ja, tooltje. Curl in de Terminal is niet bepaald gebruikersvriendelijk en zal minder aanslaan dan deze site, en dat lijkt mij precies de reden dat ze voor een app zijn gegaan en niet een technische oplossing.

[Reactie gewijzigd door Mikerd op 12 januari 2012 11:17]

Is curl geen tooltje dan?
Ik krijg een "417 - Expectation failed" als ik het probeer met curl, is het telefoonnummer nog op een bepaalde manier opgebouwd of mis ik iets? :)
cc = country code, bijv 31
me = tel nr, incl country code, bijv +31612345678
s = status message
Hier de code voor de geÔnteresseerden (d.m.v. Reflector):
http://pastebin.com/3aG8cgtB
Welke code-taal is dit?
C# Zoals ook in de titel van die pagina is aangegeven.
OK, nu ben ik het zat. Dag Whatsapp. Ik ga weer terug naar SMS/iMessage.

Zeggen dat het opgelost is en niks doen is simply not done. Ik heb niets te verbergen, maar ik wil niet weten wat voor security issues er nog meer in Whatsapp zitten.

--edit--
zijn er al alternatieven voor Whatsapp m.u.v. iMessage?

[Reactie gewijzigd door PdeBie op 12 januari 2012 10:16]

ChatOn is ook erg leuk. Is erg vergelijkbaar met WhatsApp (koppeling dmv. Telefoonnummer).

Ik gebruik het sinds een paar dagen en tot op heden werkt het betrouwbaarder dan WhatsApp, IMO.

Op het moment van schrijven is het alleen voor Android. Bada, iOS, BlackBerry, WP7 en een webinterface komen binnenkort volgens de site.

Ow, en het programma is ontwikkeld door Samsung. Dus het zal ook wel standaard op Samsung toestellen komen in de toekomst denk ik.

[Reactie gewijzigd door Cybergamer op 12 januari 2012 12:41]

Je hebt eBuddy XMS, gebruik het zelf al een tijdje en ben er best tevreden mee. Ook komt het met een web interface. :)
Vind XMS van eBuddy ook heel goed. Is ook nog eens gemaakt door een Nederlands bedrijf!

Het is alleen niet zo populair. Daarnaast gebruik ik voor mensen die een Android telefoon hebben toch altijd Gtalk. Tevens kun je met mensen chatten die gewoon een gmail e-mail hebben.
Ook nog eens met Voice en Video ;) :D
Ja, ik gebruik ook eBuddy XMS. XMS heeft nog niet als zo veel vrienden als op Whatsapp maar dat komt vanzelf wel.
viber? Daar kan je ook mee bellen.
En is negatief in het nieuws gekomen omdat ze je adresboek leeg jatten...
Google talk ook. Als je twee telefoons hebt met Android 4.0 (of 2.3.4 met Gtalk1.3) kan je gewoon via Google talk met elkaar bellen. Als je dan op het microfoon icoontje drukt komt bij de ander gewoon een soort bel popup naar boven. Lijkt net alsof iemand je belt. Werkt verder goed bij een goede 3G of HSDPA en Wifi verbinding.

Tevens kan iedereen vanuit een browser op bijna elk OS via Gmail jou bellen :) En tevens via Google + en Google hangouts is ook geweldig :)

[Reactie gewijzigd door Texamicz op 12 januari 2012 11:08]

Ik heb er geen ervaring mee, maar met Viber kan je op Android en iOS berichtjes sturen en zelfs bellen (VOIP). http://www.viber.com/

Ik zit zelf te twijfelen om naar Google+ over te gaan en daar de messenger van te gebruiken.
Of gewoon massaal allemaal gaan Wordfeuden, en via het spelletje met elkaar chatten ;)
Er zijn al genoeg alternatieven :) Google Huddle, Facebook chat, Groupme, kakaochat etc.
Heb je het Łberhaupt geprobeerd? ik heb het vanaf werk en vanaf thuis geprobeerd ( die tool ) maar het werkt niet... Dus is volgens mij wel geblocked
http://www.jaxtrsms.com/ Gewoon gratis sms sturen naar iedereen zonder dat ze iets moeten installeren. Wel opletten tijdens jaxter installeren vanwege reclame.
SMS is uit. Leverbetrouwbaarheid van de sms-jes via internet laat vaak te wensen over.
Ik heb em anders wel meteen geinstalleerd. Mijn ouders hebben geen mobiel internet en daar stuur ik dan ook SMSjes naar toe. Als dit zonder reclame verstuurd wordt is dat mooi, even uitproberen dus en hopen dat het betrouwbaar is.

Edit: hoor net dat het wel reclame in de SMS stopt? Best logisch voor de kosten, maar dan gaat hij er hier weer uit.

[Reactie gewijzigd door Mikerd op 12 januari 2012 11:16]

er zijn gewoon tools voor om die weg te halen, helaas is me de naam ontschoten, maar je hebt een speciale app nodig om reclame uit je statusbar te clearen.
Je hebt geen romflash nodig.
Zijn er alternatieven?
Je hebt er verschillende, het nadeel is dat die gewoon weg niet zo bekend zijn. Hieronder vind je er enkele:

- Touch -> werkt precies hetzelfde als whats app met als verschil dat je geen telefoonnummer nodig hebt en het dus ook tablets met alleen wifi gepingt kan worden. Ondersteund zowel iOS als Android. WP weet ik niet zeker.

- Ebuddy XMS en Google Talk -> beide zijn er al wat langer en maken het je mogelijk te pingen en te chatten via je mobiel, tablet en computer. Ondersteuning voor alle systemen volgens Ebuddy en Google Talk zo wie zo voor Android, iOS en WP weet ik niet zeker.

-> Je hebt daarnaast ook device gebonden ping applicaties. De bekendste twee zijn de Blackberry Messenger (het oorspronkelijke 'pingen') en iMessage (dat werkt tussen de tablets en iPhone van Apple).

-> Een laatste alternatief dat weinig bekend is Viber, een soort Skype. Je kan ermee belle (gratis) en berichten mee versturen. Het nadeel, vind ik persoonlijk, dat Vibers manier van pingen omslachtig is (zeker wanneer je verschillende pingmethoden gebruikt)

Zo zie je, er zijn alternatieven. Het feit is dat ze niet algemeen genoeg zijn... Niet iedereen kent ze waardoor ze als het ware niet aan de man/vrouw komen ;)

[Reactie gewijzigd door South_Styler op 12 januari 2012 10:31]

Ja, jammer dat er geen universele methode is om berichtjes naar mensen te sturen. Wat zou de wereld mooi zijn als gewoon elke telefoon een soort korte berichten service had: berichtje typen, contact of telefoonnummer kiezen en klaar. Helaas zijn we met zijn allen gedwongen om een aparte app hiervoor te installeren.
Dat heet SMS. Alleen is men tegenwoordig niet meer bereid om een paar cent voor een efficient bericht neer te tellen...
Sms is gewoon veel te duur, vooral in vergelijking met diensten als Whatsapp e.d. In de tijd dat er alleen smsjes waren deed ik zoveel mogelijk informatie in een bericht stampen en daarna pas verstuurde ik het.
Sinds ik Whatsapp gebruik doe ik dat niet meer. Ik gebruik het meer zoals ik MSN Messenger gebruik, een woord of een korte zin per bericht. Als je dat via sms zou doen zou dat erg duur worden.

Overigens erg slecht van Whatsapp dat deze bug nog steeds niet gefixed is. Het wordt eens tijd dat bedrijven minder laconiek omgaan met dit soort dingen.
Denk niet dat dat het punt is. Als je iedereen kan bereiken via WA, waarom dan nog smsen? Ik kan bij Voda gratis smsen, maar de enige naar wie ik wel eens sms is m'n moeder die geen smartphone heeft. Of als WA-berichten weer eens niet aankomen en het haast heeft natuurlijk....
Mijn punt is dat er wordt gedaan alsof WhatsApp gebruiken een verplichting is. Alsof dat de enige manier is om 'je netwerk' te bereiken. Nee iedereen in je telefoon heeft een telefoon. Iedereen met een telefoon kan je sowieso een sms sturen.
Verder kan je zoveel apps op je telefoon installeren als je wil, boeiend wat de ander gebruikt. Dan gebruik je WhatsApp bij de een en Viber bij de ander. Via push krijg je een melding als je een bericht hebt en als je die bekijkt zit je meteen in de goeie app.

Dus als iedereen die loopt te klagen gewoon WhatsApp verwijderd en hun eigen favoriete app installeert, dan is het probleem toch opgelost.
Als ik iemand ontmoet (gebeurd wel vaker op zaterdagnacht in de stad ;)) dan vragen ze ALTIJD of ik Whats App heb. Klaar. Wil je dus daar iets mee kunnen zal je het ook moeten hebben. Sms is in theorie leuk maar wanneer je iemand ontmoet heb je (of iig ik) bijna altijd berichten van normaal 4/5 smsjes. Als je dan een paar dagen bezig bent zit je dus al heel snel op 1000 smsjes (meer lukt ook makkelijk :p)

Dat is gewoon de reden waarom de normale (non tweaker) mens het gebruikt en het is ook de reden waarom BB zo onwijs populair is/was in Nederland
Ah vragen ze tegenwoordig ALTIJD naar WhatsApp, vroeger vroegen ze ALTIJD of je Facebook had, nog langer geleden vroegen ze ALTIJD of je Hyves had, eonen geleden vroegen ze ALTIJD of je MSN had en daarvoor vroegen ze naar je telefoonnummer. Althans van horen zeggen, aan mij wordt ALTIJD gevraagd of ik kan opzouten.
Wat ik wil zeggen is dat het echt wel mogelijk is om een nu populaire applicatie te vervangen door een andere. Niet door tweakers natuurlijk, maar als die wijven in de kroeg waar iedereen op jaagt WhatsApp niet meer gebruiken volgt de rest vanzelf, zie de verschuiving ICQ > MSN, Hyves > Facebook, telefoon om te bellen > telefoon om berichten te versturen.
Als iets haast heeft moet je niet SMSen of whatsappen, dan moet je bellen. Dan ben je verzekert van een directe reactie van die persoon.
Stelletje prutsers.
Ik vind het niet zo fijn als het mogelijk is dat andere mijn status wijzigen, stel je voor dat ze iets er op zetten wat niet door de beugel kan en mijn baas ziet dat?
Schandelijk.

Ik zou het niet meer dan raar vinden als er een boete wordt gegeven.
Mensen worden hier van de dupe. Dit kan erg vervelend uitpakken.
Ze hadden dit allang moeten oplossen vooral omdat het al sinds vorig jaar bekend is.

[Reactie gewijzigd door 1337mhz op 12 januari 2012 10:16]

Tsjah bij normale marktwerking was Whatsapp al lang weg geweest.
Als de maker van sloten van je voordeur een fout maakt waardoor je de voordeur zo kan openen koopt niemand meer sloten van dat merk. Nou is de bug van Whatsapp natuurlijk niet zo dramatisch als het toegang verlenen tot iemand zijn huis maar het geeft wel een duidelijk verschil aan.

Mensen hechten minder waarde aan digitale gegevens dan fysieke spullen. Als iemand zijn telefoon gejat wordt is het enige waarvoor je aangifte kan doen het verlies van je telefoon, niet de data die opgeslagen stond.
Het gaat niet zozeer om het feit dat het hier om digitale gegevens gaat, maar dat het om een netwerk gaat. Natuurlijk kun je overstappen naar Pingchat o.i.d. maar zolang je vrienden nog WhatsApp gebruiken heb je daar niks aan. Je sluit alleen jezelf buiten.

Ik heb vanaf het begin al bedenkingen gehad over WhatsApp. Wat voor organisatie zit hierachter en hoe verdienen zij geld. Ze kunnen alle berichten namelijk gewoon lezen, opslaan en wat niet al. Ze zijn in korte tijd enorm gegroeid en krijgen daardoor nu te maken met hackers etc.
Ze verdienen geld door het leveren van gegevens. Aan de hand van die gegeven kunnen reclame bureaus gerichter adverteren. Als voorbeeld zal je, wanneer dit goed wordt gebruikt, geen advertenties voor bijv sport opleidingen vinden in wijken waar alleen bejaarden wonen.
Dat is het idee achter gepersonaliseerd adverteren en profielen opbouwen ja, maar vziw doet Whatsapp hier niets mee. Zij leven in principe van het bedrag wat je betaald na het eerste jaar:
WhatsApp generates its money by asking $0.99 for the iPhone version. The Blackberry, Android and Symbian versions work with a subscription model of $1.99 per year. The subscription is for free in the first year.
http://www.quora.com/What-is-WhatsApps-business-model

Zelf geven ze aan dat dit winstgevend is:
WhatsApp is a growing and profitable startup with millions of users
http://www.whatsapp.com/join/
Ik ben zelf nooit gevraagd te betalen voor whatsapp (android), en heb het toch al langer dan een jaar. De datum die in about staat wordt vanzelf aangepast wanneer de periode eindigt. Dit is gewoon met de whatsapp uit de gewone market, niets illegale apk's of dergelijke. Als ik zo rondvraag naar anderen ervaren ze hetzelfde.
Dat is inderdaad het geval. Het is dus vrijwel onmogelijk dat WhatsApp hier zijn geld mee verdient... Ik denk persoonlijk dat het percentage betalende gebruikers ligt op iets van 5% van al de gebruikers (veel iphone users gebruiken ook bijv ping for iphone of dat imessage)
Nja me zusje en moeder hebben gewoon de inlog gegevens van me nichje gebruikt en zo gratis whats app op hun toestel gezet ( iphone users ) dus ook daar kom je omheen indien je wilt..
En met het uitkomen van de iPhone 4S was Whatsapp een paar dagen gratis, en hetzelfde met kerst. Dť momenten waarop veel users erbij komen.
tja, eigenlijk is hetgeen wat whatsapp/apple/google/facebook/etc doen met de berichten die jij hebt verstuurd gevaarlijker dat het wijzigen van statussen.
Eerlijk gezegd interesseert die status mij geen reet. Ik let er niet eens op. Het is natuurlijk wel slordig dat ze het in een halfjaar niet hebben kunnen repareren,.
Dat heb ik me ook lange tijd afgevraagd. Gebruik het programma inmiddels niet meer, maar ik wil wel weten hoe mijn oude data (onversleuteld) is opgeslagen. Ze blijken ook gegevens te verkopen en dergelijke.
Ook dat, en omdat dit soort applicaties (nagenoeg) gratis zijn. Het lijkt erop dat mensen veel willen opofferen voor iets dat gratis is en wat populair is. Zoals facebook en twitter. En kijk maar naar smartphones. Allemaal leuke nieuwe gadgets en mogelijkheden voor weinig geld... en men neemt alle tekortkomingen op de kop toe (zoals korte accuduur, koelkast formaat, etc)

Ik denk dat als whatsapp een serieus betaalde dienst zou zijn, mensen wel kritischer zouden zijn in het gebruik.
Een foutje kan natuurlijk worden gemaakt, dat gebeurt overal. Maar normaal gesproken zal die slotenmaker het slot direct vervangen voor een slot dat wel werkt.
Die slotenmaker moet wel, want zijn klanten betalen daarvoor...
Tsjah bij normale marktwerking was Whatsapp al lang weg geweest.
Ik denk dat het eerder komt omdat niemand ooit naar die status kijkt :P Ik bedoel, ik heb een aantal chats en iedereen waarmee ik whatsapp heeft een eigen chat waardoor ik nooit door mijn contacten hoeft te gaan maar dus ook nooit een status van iemand zal zien.

Edit: Al moet ik wel aangeven dat veel mensen klagen over onstabiele servers

[Reactie gewijzigd door Mellow Jack op 12 januari 2012 10:37]

Ik herinner me nog iets van Axa fietssloten en masterkeys, volgens mij worden deze nog steeds verkocht. :X
Het gratis en makkelijk gebruik van Whats App heeft meer voordelen dan nadelen, ook al is het zo lek als een teems, mensen houden van gratis.
Volgens mij moet je dit toch meer zien als een aannemer die een huis bouwt en vergeet een degelijk slot in je bijkeuken te zetten waardoor iemand een poster achter je raam kan hangen.

Is allemaal niet netjes. Zeker niet als je bedenkt dat de aannemer zegt dat hij er een beter slot in heeft gezet en blijkt dat de dag erna iemand een andere poster achter je raam heeft gehangen.
lijkt me meer het vervangen van het naambordje bij de voordeur. als je deze redenatie gebruikt

Hij zit vast maar met een schroevedraaier kun je hem er zo afhalen......

[Reactie gewijzigd door WeeDzi op 12 januari 2012 15:00]

Bij het vervangen van dat naambordje hoef je niet door een beveiliging heen, bij het ophangen van die poster en het wijzigen van de status op Whatsapp zou je wel door een beveiliging heen moeten.
Geen beveiliging? en hoe noem je die kruiskop dan? een kruiskopschreovendraaier is in dat opzicht toch niet heel veel anders dan een sleutel het komt alleen wat meer voor en we gebruiken het over het algemeen als een bevestigings middel. Maar een slot is toch ook met een haarspeld te openen? Simpele sloten zoals een hangslot oid zijn ook maar 100 verschillende sleutels dan heb ik in feite toch ook de "tool"om het slot open te maken. Is het dan geen beveiliging?

Ik vind een kruiskop schroef een redelijk middel om iets te beveiligen zoals een naambordje..... Het geeft aan dat het is vast gemaakt en behoord tot de structuur waar het aan vast zit. Dat er niet een hangslot omheen zit geeft niet aan dat het geen beveiliging heeft. Ook al is de kruiskop makkelijker te omzeilen dan een hangslot. In praktijk zijn er maar wijnig mensen die een kruiskop dagelijks in hun binnenzak hebben.

Met deze tool die gemaakt is krijg je de sleutel of schroevendraaier in de hand gedrukt


Wat dat betreft kun je de beveiliging van Whatsapp misschien wel vergelijken met de kruiskop, gewoon te simpel voor wat het beschermd "je status".

[Reactie gewijzigd door WeeDzi op 12 januari 2012 16:19]

Stel dat iemand er iets neerzet wat niet door de beugel kan kun je hem toch naar dit artiekel verwijzen. Maar idd slech dat het mogelijk is.
artiekel? :O

En wat zou er dan niet door de beugel kunnen? Het is maar een status verder niks en ik neem aan dat hij door de gebruiker zelf weer net zo snel te wijzigen is.

Natuurlijk is het een kwalijke zaak dat zoiets kan, maar verder zal het nou niet echt veel schade aanrichten.
Het is juist een voordeel, nu kan je zelf iets neerzetten wat niet door de beugel kan en je kan deze hack de schuld geven.
Paar keer getest, werkt niet..
Het stomme is ook dat ze al maanden de tijd hebben gehad om dit op te lossen.
Vendor contact timeline:
------------------------
2011-09-14: Initially contacted vendor
2011-09-14: Contact established to security team and sent advisory. Asked for feedback and patch timeline.
2011-09-23: No response from vendor. Asked for feedback and patch timeline.
2011-09-23: Vendor response asking for clarification regarding issue 2.
2011-10-14: Response sent regarding issue 2.
2011-10-26: No response from vendor. Asked for feedback and patch timeline.
2011-11-02: Feedback from vendor regarding issue 2.
2011-11-02: Asked for patch timeline of the other issues and coordinated publication.
2011-12-07: No response from vendor. Informed vendor of last chance to provide a patch timeline within 7 work days.
2011-12-14: No response from vendor.
2011-12-19: Public release without POC
(Issue 2 ging over de brute force mogelijkheid voor sms verificatie)

Zie: http://packetstormsecurity.org/files/108010/SA-20111219-1.txt

[Reactie gewijzigd door Zenuka op 12 januari 2012 16:37]

Het programmatje schijnt al niet meer te werken.
De eerste keer dat ik het even probeerde lukte het wel, daarna probeerde ik het bij een vriend en werkte het niet meer. :_)
Volgens mij heb je gelijk,

Ik had status van maatje veranderd en krijg hem niet meer terug veranderd.

Of het kan natuurlijk ook zijn dat te veel mensen nu bezig zijn met statussen veranderen en dat het even duurt, dat die webserver vol loopt ofzo?
Ik moet soms het programma restarten. Probeer dat maar eens.
Zal het niet zo zijn dat de maker van Whatsapp nu een script heeft geschreven die alle IP's blokkeert waar vandaan dit tooltje is geprobeerd? Meerdere mensen zeggen namelijk dat het de 1e keer wel werkt, maar daarna niet meer.
beetje lastig...hoe moet je dan blokkeren....op basis van header informatie?? dan vallen dus nu iPhone gebruikers buiten de boot?? IP-ranges blokkeren is ook niet zo'n goed idee want hoewel een range vast wel te koppelen is aan een mobiele provider, wordt whatsapp ook wel gebruikt via wireless netwerken die weer via het gewone internet lopen..en dan vallen die weer buiten de boot...
Minuut of 10 geleden werkte dit gewoon nog.
Offtopic: Werkt nog wel alleen server lijkt het er moeilijk mee te hebben!
Dat viel me inderdaad ook op. 1e keer werkte het, en daarna was het klaar. Is er dan nu finally een definitieve fix?
Zelfde hier! Bij de eerste lukte het wel, maar vervolgens niet meer. Overigens doe ik alleen leuke status-changes :) En ik biecht het ook nog eens op
Werkt hier gewoon hoor...
Mensen die dit probleem niet serieus nemen opgelet: ik had mijn whatsapp status ooit eens op de standaard status "at the gym" gezet en nooit meer gewijzigd. Mijn baas had dit opgemerkt en dacht dat ik tijdens kantooruren alleen maar "at the gym" was. Gevolg was dat mijn contract voortijdig werd opgezegd, omdat ik me niet aan mijn arbeidsovereenkomst van 40 uur per week zou houden. Extra zuur was dat ik natuurlijk wel elke dag netjes op mijn werk was, maarja die status eh.
Alleen af gaan op je WhatsApp status lijkt me niet echt een reden om je contract te beŽindigen? Als je elke dag netjes op je werk was, lijkt het me ook dat je dat kan aantonen en dan heeft je baas geen poot om te staan. :)

[Reactie gewijzigd door Petervanakelyen op 12 januari 2012 11:13]

Ja, leuke grap, moeten we dit echt geloven ofzo?

Mocht het wel waar zijn, dan heb je gewoon een heel erg stomme baas en zou ik blij zijn dat je daar weg bent. Bij zo'n baas wil je niet werken.
Het kan ook in je voordeel werken hoor, ik had mijn status standaar op "at work" staan, en heb nu enorm veel overuren over 2011 uitbetaald gekregen!
Erg onprofessioneel en een erg kwalijke zaak. Ik vraag me af hoe het dan zit met bijvoorbeeld Imessage of bbm? Want bbm bijvoorbeeld was volgens mij niet zo "hackbaar" of lek als een gevlochten maandje... Ik vraag me af of de hackers dan bijvoorbeeld niet in staat zijn om dan de whatsapp berichten te kunnen gaan lezen als ze nog eventjes doorgaan met het gehack.

Dat is wel een gevaar voor onze privacy...
Je privacy inleveren is een trade off van het gebruik van "gratis" diensten.
Om het simpel te houden WhatsApp is een heel erg simpel hobby programma dat nooit zo groot had mogen worden op basis van de kwaliteiten van de software. Helaas kunnen eindgebruikers dit soort dingen eigenlijk nooit goed inschatten. In middels is het overduidelijk dat het een programma is dat zeer slecht in elkaar steekt en waarvan de auteurs zeer weinig tot niets weten van het beveiligen van communicatie stromen dan wel het maken van veilige code.

Het is hoog tijd dat bedrijven als Google en Apple niet alleen naar de acties van de programma's in hun app store kijken maar ook naar de kwaliteit van de code en mensen waarschuwen voor rommel. Het zou een heleboel problemen voorkomen als mensen kunnen zien dat een programma als dit geschreven is door een amateur die totaal geen rekening houd met de veiligheid van zijn/haar klanten.
Whatsapp was al vanaf het begin duidelijk dat het een "hobby-programma" was, dat ze groot zijn geworden vind ik prima en zelfs erg leuk (dan zie je maar weer dat er altijd kansen liggen voor iedereen).

Maar ze hebben de beveiliging helaas niet zo serieus genomen en nu moet het opgepakt worden...(wat zeker wel gedaan wordt)
Dat is een onmogelijke opgave. Als je ziet hoe verschrikkelijk veel applicaties er zijn.

Daarnaast heb ik niet het idee dat het echt een hobby project is. Al een aantal keren contact gehad met Whatsapp over verschillende probleempjes met contacten. Bij elke afzonderlijke situatie was er iemand anders die mijn mail beantwoordde. Ook werd er vaak vrijwel direct geantwoord. Gezien het tijdsverschil, en het verloop van tijd door de dag heen lijkt het er op dat er een bedrijf achter zit dat 24/7 iemand beschikbaar houd om helpdesk te spelen.
Wel heel triest om alleen de IP te blocken en dan zeggen dat de bug gefixed is. Niet dat het ze klanten gaat kosten want iedereen blijft het gebruiken, maar wel slecht van het bedrijf!
1 2 3 ... 10

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True